Un consultant indépendant en sécurité a critiqué WhatsApp pour le manque de sécurité fournie aux conversations des utilisateurs si elles sont stockées sur une carte SD, comme cela est souvent possible avec un smartphone Android. À y regarder de plus près, la situation n’est pas aussi simple.
Alors, faille ou pas faille ?
Selon le consultant Bas Bosschert, il existe au sein de la version Android de WhatsApp une faille de sécurité. Exploitée, elle permettrait à une autre application d’aller récupérer les conversations en cours si l’utilisateur a fait le choix de les stocker sur la carte externe. Un port SD est en effet souvent présent sur les smartphones Android, ce qui permet d’y transférer aussi bien des données personnelles que des applications, le choix se faisant à l’installation.
Pour WhatsApp cependant, la notion de faille de sécurité est largement exagérée : « Nous sommes informés des rapports au sujet d’une « faille de sécurité ». Malheureusement, ces rapports n’ont pas dépeint un portrait précis et sont exagérés. En temps normal, les données sur la carte microSD ne sont pas exposées. Cependant, si un utilisateur télécharge un logiciel malveillant ou un virus, leur téléphone sera en danger. Comme toujours, nous recommandons aux utilisateurs de WhatsApp d’appliquer toutes les mises à jour pour s’assurer qu’ils disposent des derniers correctifs de sécurité, et nous leurs recommandons également de ne télécharger que des applications de confiance d’entreprises connues. La version actuelle de WhatsApp dans Google Play a été mise à jour pour mieux protéger nos utilisateurs contre les applications malveillantes ».
Entre sécurité inhérente à Android et meilleure protection des données
Le problème serait donc là : dans le fait qu’un utilisateur fait confiance à une application qui arbore un comportement malveillant. C’est cette dernière qui va aller récupérer les données sur la carte SD pour les transmettre ensuite à un serveur distant.
Pour autant, plusieurs questions se posent. D’une part, serait-il possible à WhatsApp de mieux sécuriser les données quand elles se trouvent sur une carte SD afin de les rendre inexploitables par une autre application ? D’autre part, peut-on attendre des utilisateurs qu’ils sachent faire la différence entre une application légitime et une malveillante ? Le succès d’Android est en partie basé sur cette liberté d’installation des applications et les utilisateurs en ont l’habitude.
En attendant que la situation soit un peu plus claire, les utilisateurs sont invités à contrôler plus précisément ce qu’ils téléchargent sur des boutiques tierces. Comme Kaspersky le rappelait dans son dernier rapport sur les évolutions de la sécurité en 2013, Android concentre à lui seul 98 % des attaques mobiles.
